アダルトサイトよく見るIEユーザーは注意、銀行情報盗むマルウェアの標的に

　インターネットバンキングなどの認証情報を盗むマルウェアが、比較的利用者の多い日本のアダルトサイトに仕込まれていたことが分かった。スロバキアのセキュリティベンダーであるESETが、16日付の同社公式ブログで報告している。このマルウェアは「Win32/Aibatook」と呼ばれるもので、すでに2013年末に米Symantecによって報告されていたが、今年4月中旬以降、改良された新バージョンが確認されているという。

Javaをアップデートしていないと感染

　ESETでは、少なくと4つのドメインのアダルトサイトが侵入を受け、この攻撃を仕込まれているのを確認。具体的なドメイン名はESETの公式ブログにリストアップされているが、そのうちの3つは、Alexaのランキングにおいて日本からのアクセス数が多い上位2万位以内に入るものであり、中には2000位以内に入るものもあるとしている。

　これらのサイトに仕掛けられた攻撃は、Java SEの脆弱性「CVE-2013-2465」をピンポイントで突いて、Win32/AibatookをPCにダウンロードし、感染させるもの。ただし、この脆弱性はすでに2013年6月に修正済みとなっている。

　一方、Win32/Aibatookは、Internet Explorer（IE）だけを標的にしている点で特徴的だという。IE特有の実装を悪用して情報を窃取するため、ESETによれば、他のブラウザーでは情報摂取の操作が行えないという。ESETでは、日本はIEが最も使われている国の1つでもある点を指摘。この特徴からも、Win32/Aibatookは日本を標的にしたマルウェアであるとみている。

銀行だけでなく、ホスティングプロバイダーも標的

　Win32/Aibatookが情報を窃取する機能は2つあるという。まず1つ目が、特定のインターネットバンキングの認証情報を盗むための機能で、具体的にはゆうちょダイレクトと住信SBIネット銀行が標的に設定されていた。感染PCのIEからこれらのインターネットバンキングサイトにアクセスしているのを検知すると、偽の入力画面を表示して暗証番号などを窃取する。

「Win32/Aibatook」が表示する偽の入力画面（ESET公式ブログより画像転載）

　もう1つが、広範なID・認証情報を窃取する機能だ。入力フォームの情報を窃取する仕組みとなっており、ESETでは、標的に設定されているドメインを87件突き止めた。このうちサービス内容が分かったドメインは、銀行が23件、ホスティングプロバイダーが5件、ドメイン名登録サービスが1件。やはり銀行が多いが、ホスティングプロバイダーも含まれている点にESETは着目。Win32/Aibatookの感染先から窃取したホスティングプロバイダーのアカウントでウェブサイトに侵入・改ざんし、同様の攻撃を仕込むことで、さらにそのサイトの閲覧者に感染を試みるという攻撃の連鎖が可能になるとしている。

　ESETでは、「この調査の間に我々が観測したところでは、ここ数カ月間、Win32/Aibatookの開発がコンスタントに行われている。我々は、このマルウェアファミリーがテイクオフの態勢に入っており、近い将来、その作者がより広範に拡散させるものと考えられる」としている。